Praga brasileira ‘garimpa’ Bitcoins com máquina infectada

Circula desde o ano passado um cavalo de Troia brasileiro que, além de roubar credenciais bancárias, utiliza o processamento do computador da vítima para minerar, ou “garimpar”, Bitcoins, tornando as máquinas infectadas em mineradoras da moeda virtual.

O Bitcoin é uma “moeda virtual” criada por um programador japonês em 2009. Diferentemente da maioria das moedas com lastro, o Bitcoin não depende de um emissor oficial (como um Banco Central), mas usa um banco de dados distribuído através de conexões ponto-a-ponto (P2P) para registrar as transações.

Calcular os valores que autenticam as transações da rede é complexo, e essas computações são retribuídas com moedas de Bitcoin (BTC) aos participantes. Contribuir com uma grande quantidade de recursos de processamento para obter moedas é uma prática conhecida como “minerar”. Se o criminoso infecta diversas máquinas, podendo controlá-las, ele poderá usar o processamento das mesmas para minerar moedas e assim ter um ganho financeiro significativo, ao vender essas moedas para corretas de Bitcoin, como a Mt. Gox.

Códigos brasileiros com esse comportamento estão em circulação pelo menos desde outubro do ano passado, de acordo com um relatório de análise dos arquivos publicados no site da fabricante de antivírus Sophos. São pragas típicas, que chegam ao usuário através de e-mails maliciosos informando uma suposta irregularidade no CPF, por exemplo, e que, ao serem executados, fazem o download dos verdadeiros componentes que atuarão na máquina.

Um cavalo de Troia com essa capacidade foi analisado pela equipe do ARIS-LD confirmando o comportamento da praga. Um deles se apresenta com o nome correcao_cpf.exe e um ícone do Adobe Flash Player.

Para enganar a vítima, o arquivo da infecção apresenta telas de instalação do Flash Player, fazendo com que a vítima pense que está realmente instalando alguma coisa em seu sistema. Na verdade, o downloader está baixando e instalando um ladrão de senhas bancárias e o “minerador” de bitcoins:

As sequências de texto dentro do arquivo malicioso demonstram quais arquivos serão baixados:

O arquivo “yessss.pic.cpl” será baixado e posteriormente renomeado para “klsanta.cpl“. O termo “KL” é usado entre os programadores de vírus  brasileiros para definir “keylogger”, software malicioso que possui funções de capturar as teclas digitadas ou realizar captura de telas, geralmente de sites de banco; “santa” se refere ao Banco Santander.

O mais interessante nessa infecção é o arquivo “klx.exe“, que será o responsável por baixar outros arquivos e instalá-los no sistema. No código é clara a função “Download_Minerador”, demonstrando seu objetivo:

Nele ainda é possível encontrar facilmente uma lista de URLs e os nomes que os arquivos irão ter ao serem instalados no sistema infectado, que seriam baixados de um site legítimo que havia sido comprometido e usado no esquema malicioso:

Observamos entre os vários arquivos baixados o rpcminer-cpu.exe. Trata-se de um minerador de Bitcoins que irá usar o poder de processamento da CPU para gerar os as moedas. Há ainda os arquivos rpc-miner.cuda.exe e cudart32_32_16.dll. Tratam-se de arquivos legítimos, assinados digitalmente pela fabricante de placas de vídeo NVIDIA. A tecnologia CUDA (Compute Unified Device Architecture) permite que aplicações tirem proveito das unidades de processamento existentes em placas de vídeo  para realizar certos cálculos matemáticos com velocidade superior. Em resumo: caso a vítima tenha uma placa de vídeo da NVIDIA instalada, ela será usada para acelerar a mineração de Bitcoins.

Mas e se a vítima possui outra marca de placa de vídeo? Para resolver esse problema, os arquivos rpcminer-opencl.exe e bitcoinmineropencl.cl serão usados para tirar proveito de outra tecnologia de processamento, chamada OpenCL, suportada por diversos fabricantes de placas de vídeo. Dessa forma o cibercriminoso garante que, independente da placa de vídeo presente no computador da vítima, a máquina terá seus recursos de processamento usados exclusivamente para minerar as moedas.

O comportamento dos cavalos de Troia bancários demonstra que os malfeitores brasileiros estão dispostos a ganhar dinheiro ilícito de várias formas, não somente roubando suas credenciais bancárias, mas também escravizando a máquina das vítimas, tornando-as verdadeiras fábricas de moedas virtuais.

O site envolvido no esquema malicioso já removeu os arquivos do ar, e o arquivo instalador dessa infecção já possui uma boa taxa de detecção dos programas antivírus.